MinhSec
Writer
Một chiến dịch phát tán phần mềm độc hại mới đang nhắm vào người dùng macOS thông qua các quảng cáo tìm kiếm giả mạo trên Google. Theo các nhà nghiên cứu an ninh mạng tại Unit 42 của Palo Alto Networks, chiến dịch này có tên FlutterBridge và sử dụng một loại mã độc mới mang tên FlutterShell để xâm nhập vào thiết bị của nạn nhân.
Điều đáng lo ngại là các quảng cáo độc hại này được đăng tải dưới danh nghĩa những doanh nghiệp có vẻ hợp pháp, giúp chúng vượt qua nhiều lớp kiểm duyệt và dễ dàng tiếp cận người dùng.
Khi người dùng tìm kiếm các công cụ phổ biến trên Google, những quảng cáo giả mạo sẽ xuất hiện ở vị trí nổi bật. Nếu nhấp vào, nạn nhân có thể tải về các ứng dụng trông giống trình phát podcast hoặc phần mềm đọc tài liệu PDF thông thường. Tuy nhiên, bên trong các ứng dụng này lại chứa mã độc FlutterShell.
Các nhà nghiên cứu đã phát hiện nhiều biến thể khác nhau của phần mềm độc hại, bao gồm những ứng dụng mang tên PodcastsLounge, PDF-Brain và PDF-Ninja. Một số phiên bản còn sử dụng các kỹ thuật làm rối mã nhằm gây khó khăn cho quá trình phân tích.
Điểm nguy hiểm của FlutterShell là nó hoạt động như một trình duyệt thu nhỏ có khả năng tải thêm mã từ máy chủ của kẻ tấn công. Điều này cho phép tin tặc thay đổi chức năng của phần mềm bất kỳ lúc nào mà không cần phát hành bản cập nhật mới.
Nguy hiểm hơn, FlutterShell có khả năng thực thi lệnh từ xa, truy cập tập tin trên máy tính và thu thập dữ liệu hệ thống. Điều này đồng nghĩa với việc tin tặc có thể đánh cắp thông tin hoặc triển khai thêm các công cụ độc hại khác trên thiết bị bị nhiễm.
Một số phiên bản còn tích hợp tính năng AI giả mạo để tóm tắt tài liệu. Khi người dùng tải tệp lên sử dụng dịch vụ này, toàn bộ nội dung tài liệu sẽ được gửi tới máy chủ do kẻ tấn công kiểm soát trước khi xử lý.
Các nhà nghiên cứu cho biết nhiều dấu hiệu cho thấy FlutterShell vẫn đang được phát triển tích cực. Nhiều đoạn mã chưa hoàn thiện đã được phát hiện trong các phiên bản mới, đồng thời các biến thể liên tục xuất hiện trong thời gian ngắn.
Để phát tán phần mềm độc hại, nhóm tấn công đã sử dụng hàng loạt công ty ma đăng ký tại nhiều quốc gia khác nhau nhằm mua quảng cáo trên Google và YouTube. Một số doanh nghiệp được cho là không có hoạt động kinh doanh thực tế nhưng vẫn vượt qua được quá trình xác minh quảng cáo.
Sau khi nhận được báo cáo, Google đã đình chỉ các tài khoản quảng cáo liên quan. Tuy nhiên, các chuyên gia cảnh báo rằng những kẻ tấn công thường nhanh chóng lập các công ty mới và tiếp tục triển khai chiến dịch dưới danh tính khác.
Theo Unit 42, tốc độ phát triển các biến thể FlutterShell cùng việc sử dụng nhiều doanh nghiệp bình phong cho thấy chiến dịch này vẫn chưa kết thúc và có thể tiếp tục nhắm vào người dùng macOS trong thời gian tới.
Điều đáng lo ngại là các quảng cáo độc hại này được đăng tải dưới danh nghĩa những doanh nghiệp có vẻ hợp pháp, giúp chúng vượt qua nhiều lớp kiểm duyệt và dễ dàng tiếp cận người dùng.
Mã độc ngụy trang dưới vỏ bọc ứng dụng quen thuộc
Theo điều tra, đứng sau chiến dịch là một nhóm tội phạm mạng được theo dõi dưới tên CL-CRI-1089, vốn đã hoạt động từ ít nhất năm 2023. Trước đây, nhóm này chủ yếu nhắm vào người dùng Windows bằng các phần mềm giả mạo. Tuy nhiên, từ năm 2025, chúng bắt đầu chuyển trọng tâm sang hệ sinh thái của Apple.
Khi người dùng tìm kiếm các công cụ phổ biến trên Google, những quảng cáo giả mạo sẽ xuất hiện ở vị trí nổi bật. Nếu nhấp vào, nạn nhân có thể tải về các ứng dụng trông giống trình phát podcast hoặc phần mềm đọc tài liệu PDF thông thường. Tuy nhiên, bên trong các ứng dụng này lại chứa mã độc FlutterShell.
Các nhà nghiên cứu đã phát hiện nhiều biến thể khác nhau của phần mềm độc hại, bao gồm những ứng dụng mang tên PodcastsLounge, PDF-Brain và PDF-Ninja. Một số phiên bản còn sử dụng các kỹ thuật làm rối mã nhằm gây khó khăn cho quá trình phân tích.
Điểm nguy hiểm của FlutterShell là nó hoạt động như một trình duyệt thu nhỏ có khả năng tải thêm mã từ máy chủ của kẻ tấn công. Điều này cho phép tin tặc thay đổi chức năng của phần mềm bất kỳ lúc nào mà không cần phát hành bản cập nhật mới.
Cửa hậu nguy hiểm trên máy Mac
Theo báo cáo của Unit 42, FlutterShell không chỉ là một công cụ chuyển hướng quảng cáo đơn thuần mà còn hoạt động như một cửa hậu hoàn chỉnh. Sau khi xâm nhập hệ thống, mã độc có thể can thiệp vào trình duyệt Chrome, thay đổi cài đặt tìm kiếm và buộc người dùng truy cập các trang web quảng cáo do tin tặc kiểm soát.Nguy hiểm hơn, FlutterShell có khả năng thực thi lệnh từ xa, truy cập tập tin trên máy tính và thu thập dữ liệu hệ thống. Điều này đồng nghĩa với việc tin tặc có thể đánh cắp thông tin hoặc triển khai thêm các công cụ độc hại khác trên thiết bị bị nhiễm.
Một số phiên bản còn tích hợp tính năng AI giả mạo để tóm tắt tài liệu. Khi người dùng tải tệp lên sử dụng dịch vụ này, toàn bộ nội dung tài liệu sẽ được gửi tới máy chủ do kẻ tấn công kiểm soát trước khi xử lý.
Các nhà nghiên cứu cho biết nhiều dấu hiệu cho thấy FlutterShell vẫn đang được phát triển tích cực. Nhiều đoạn mã chưa hoàn thiện đã được phát hiện trong các phiên bản mới, đồng thời các biến thể liên tục xuất hiện trong thời gian ngắn.
Để phát tán phần mềm độc hại, nhóm tấn công đã sử dụng hàng loạt công ty ma đăng ký tại nhiều quốc gia khác nhau nhằm mua quảng cáo trên Google và YouTube. Một số doanh nghiệp được cho là không có hoạt động kinh doanh thực tế nhưng vẫn vượt qua được quá trình xác minh quảng cáo.
Sau khi nhận được báo cáo, Google đã đình chỉ các tài khoản quảng cáo liên quan. Tuy nhiên, các chuyên gia cảnh báo rằng những kẻ tấn công thường nhanh chóng lập các công ty mới và tiếp tục triển khai chiến dịch dưới danh tính khác.
Theo Unit 42, tốc độ phát triển các biến thể FlutterShell cùng việc sử dụng nhiều doanh nghiệp bình phong cho thấy chiến dịch này vẫn chưa kết thúc và có thể tiếp tục nhắm vào người dùng macOS trong thời gian tới.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
